Autenticazione a più fattori (MFA)

Proteggete il vostro login con un secondo fattore. Oltre alla password, a ogni accesso viene richiesto un codice a tempo di un'app di autenticazione, ad esempio Microsoft Authenticator, Google Authenticator o 1Password. L'attivazione avviene in „Impostazioni personali” → „Sicurezza”: scansionare il codice QR, inserire il codice generato e confermare con „Verifica e abilita”.

In qualità di proprietario dell'account, è possibile rendere obbligatoria la MFA per tutti gli utenti dell'account. In questo modo si garantisce che nessun membro del team possa accedere alla dashboard senza un secondo fattore, indipendentemente dal fatto che i singoli utenti abbiano attivato l'MFA.

Documentazione: MFA · Applicare l'MFA

Protezione contro il dirottamento di sessione attraverso la ri-autenticazione

Anche se una sessione attiva viene compromessa, ad esempio attraverso il dirottamento dei cookie, la riautenticazione impedisce all'aggressore di apportare modifiche critiche.

Questa funzione può essere configurata su tre livelli:

Azioni protette - Siete voi a decidere quali azioni richiedono una riconferma, ad esempio: l'avvio e la sospensione degli esperimenti, le modifiche alle varianti, l'archiviazione degli esperimenti, le modifiche al targeting delle pagine o le modifiche al targeting del pubblico.

Finestra temporale - È possibile definire la durata di validità di una conferma una tantum: da un'interrogazione per ogni singola azione a intervalli liberamente selezionabili, come 30 minuti o diverse ore.

Metodo di autenticazione - L'utente decide se per la conferma è necessaria la password, un secondo fattore (MFA) o entrambi insieme.

Alla documentazione: Protezione contro il dirottamento di sessione

Protezione del login Captcha di Cloudflare

L'area di login di Varify è protetta da Cloudflare Turnstile. A ogni tentativo di accesso, viene effettuato un controllo automatico in background per bloccare bot e attacchi automatizzati (come attacchi brute force o credential stuffing), senza che gli utenti reali debbano risolvere un captcha classico.

Sessioni attive

La panoramica „Sessioni attive” mostra tutte le sessioni attualmente attive sul vostro account, compresi dispositivo, browser e posizione. Ciò consente di verificare in qualsiasi momento se sono attive sessioni sconosciute o non autorizzate e di interrompere immediatamente le sessioni sospette.

Alla documentazione: Sessioni attive

Cronologia accessi

La cronologia degli accessi offre una panoramica completa di tutti gli accessi al vostro account: quando l'utente ha effettuato l'accesso, da quale dispositivo e luogo, e se ci sono state anomalie o tentativi di accesso non autorizzati. Questa funzione garantisce la trasparenza e consente di riconoscere rapidamente le attività insolite.

Alla documentazione: Cronologia di accesso

Registro attività

Il registro delle attività registra tutte le modifiche all'interno del vostro account - una traccia di controllo completa. In questo modo, è possibile tenere traccia di chi ha apportato una determinata modifica e quando, in qualsiasi momento.

Vengono tracciate le seguenti attività: Esperimenti (creazione, modifica, eliminazione), modifiche alle varianti, Targeting del pubblico, Targeting del browser, Targeting del dispositivo, Targeting della geolocalizzazione, Targeting dell'IP, Targeting di JavaScript, Targeting della pagina del selettore CSS, Targeting della memoria locale, Targeting della memoria di sessione, Targeting della pagina di corrispondenza dell'URL, Targeting dei parametri di query dell'URL, Targeting della pagina, Segmenti di targeting, Gestione del team e Inviti.

Per la documentazione: Registro attività

Ruoli e autorizzazioni

Varify utilizza un modello di accesso basato sui ruoli che limita in modo specifico l'accesso alle funzioni e ai dati. I ruoli e la disponibilità della gestione dei permessi dipendono dal piano Varify selezionato.

Proprietario del conto - Ogni account ha esattamente un proprietario. Questo proprietario ha pieno accesso a tutte le funzioni, tra cui l'abbonamento, i metodi di pagamento, la gestione del team, le chiavi API e le impostazioni di sicurezza (applicare l'MFA, configurare la riautenticazione). Solo il proprietario può modificare o finalizzare l'abbonamento. Il proprietario ha sempre diritti di amministrazione e può essere modificato inviando una richiesta al Supporto Varify.

Ruote di sistema - A partire dal piano Pro sono disponibili tre ruoli standard: Admin, Publisher e Editor. Possono essere utilizzati per controllare in modo granulare chi è autorizzato ad avviare esperimenti, gestire i membri del team o modificare le impostazioni. Nel piano Growth sono disponibili solo i ruoli di Account Owner e Publisher.

Gestione dei permessi (azienda) - In Enterprise Plan, è possibile creare ruoli personalizzati con autorizzazioni individuali tramite Gestione permessi.

Conto dell'agenzia - Il modello di agenzia prevede un ulteriore livello di autorizzazione. I membri del team a livello di agenzia hanno accesso a tutti i domini e i clienti dell'account dell'agenzia. I membri del team a livello di cliente vedono solo la dashboard del cliente a loro assegnato e non hanno accesso agli altri clienti dell'agenzia.

I membri del team vengono aggiunti tramite invito via e-mail e possono essere rimossi in qualsiasi momento. Se un dipendente se ne va, l'accesso viene bloccato immediatamente.

Alla documentazione: Gestione dei ruoli e delle autorizzazioni

Documentazione: Conto dell'agenzia

Gestione delle chiavi API

Le chiavi API possono essere create in Impostazioni del team per utilizzare l'API di Experiment. La creazione è riservata al proprietario dell'account. Dopo la creazione, vengono visualizzate una chiave client e una chiave segreta. La chiave segreta del cliente è visibile solo per un breve periodo di tempo dopo la creazione e non può più essere visualizzata in seguito - paragonabile a un token che viene visualizzato una volta sola.

Documentazione: API degli esperimenti